[Ubuntu-BR] chkrootkit

Xisberto xisberto em gmail.com
Quarta Julho 14 12:24:53 UTC 2010 

Em 14 de julho de 2010 06:27, Ricardo Stock <ricardostock em bol.com.br> escreveu:
> Ola Andre, este arquivos que relatou, são arquivos de configuração do usuário. assim como no windows temos o config.nt, autoexec.nt, temos também a pasta <usuario>windows\system caso queira configurar aplicativos para um unico usuário. No linux em todos os usuários temos arquivos de configuração que são ocultos, estes começados com um "."
>
> Veja
> /usr/lib/pymodules/python2.6/.path
> esta maquina tem suporte a pynton
>
> Ou seja não precisa se preucupar. a menos que tenha arquivos realmente suspeitos. Voce verá que tem arquivos ocultos em todas as pastas de usuários.
>
> Como trabalho somente em modo texto, e dessa forma que configuro meus usuários, quando necessário.
>
>

Eu desconfiaria desses arquivos (não desconfio mais e lá na frente
explico o motivo).

Arquivos de configuração das preferências do usuário começam sim com
um ponto, eles são considerados ocultos. Se você abrir sua pasta
pessoal e acessar o menu Ver > Arquivos ocultos (ou o atalho Ctrl+H,
de hidden), eles aparecerão. Com o mesmo menu ou atalho eles somem.

Até agora eu nunca vi um arquivo de preferência de usuário fora de um
diretório de usuário. Não faz sentido algum.

>
> Eu scaneei o laptop com o chkrootkit e ele detectou uns arquivos suspeitos:
>
>
> /usr/lib/xulrunner-1.9.2.6/.autoreg
>
> /usr/lib/firefox-3.6.6/.autoreg
>
> /usr/lib/pymodules/python2.6/.path
>
> /usr/lib/jvm/.java-6-sun.jinfo
>
> /usr/lib/jvm/java-6-sun-1.6.0.20/.systemPrefs
>

Uma maneira de ver se esses arquivos são autênticos, é verificar se
eles fazem parte de algum pacote. Com a opção -S do dpkg você vê isso.
Estou usando o 8.04 e obtive esses resultados:

$ dpkg -S /usr/lib/xulrunner-1.9.2.3
xulrunner-1.9.2: /usr/lib/xulrunner-1.9.2.3

$ dpkg -S /usr/lib/xulrunner-1.9.2.3/.autoreg
xulrunner-1.9.2: /usr/lib/xulrunner-1.9.2.3/.autoreg

Então o diretório /usr/lib/xulrunner-1.9.2.3 e o arquivos .autoreg
dentro dele são do pacote xulrunner-1.9.2, tudo certo neste caso. Eles
não são preferências de um usuário (até porque você não tem permissão
de escrita nesses diretórios, apenas leitura), mas podem ser algum
tipo de preferência ou controle do pacote.

Mesmo assim convém verificar os outros arquivos.

> Desconfio que são falsos-positivos. Tem uma questão parecida aberta no launchpad
> (#117345)

Tem certeza? Será que não digitou o número errado? Olhei esse bug, ele
é de 2007 e não tem nada a ver com o caso
https://bugs.launchpad.net/ubuntu/+source/adept/+bug/117345

-- 
Humberto Xis
http://lixaonerd.wordpress.com
http://ostelematicos.blogspot.com

"Sur la tuta tero estis unu lingvo kaj unu parlomaniero." - Gn 11,1

More information about the ubuntu-br mailing list